Cybersecurity-onderzoekers hebben in de Python Package Index (PyPI)-repository een reeks van 116 kwaadaardige pakketten geïdentificeerd die zijn ontworpen om Windows- en Linux-systemen te infecteren met een aangepaste achterdeur.
“In sommige gevallen is de uiteindelijke lading een variant van de beruchte W4SP Stealer, of een eenvoudige klembordmonitor om cryptocurrency te stelen, of beide”, aldus ESET-onderzoekers Marc-Etienne M.Léveillé en Rene Holt in een eerder deze week gepubliceerd rapport.
De pakketten zijn naar schatting sinds mei 2023 ruim 10.000 keer gedownload.
De bedreigingsactoren achter deze activiteit zijn geobserveerd met behulp van drie technieken om kwaadaardige code in Python-pakketten te bundelen, namelijk via een test.py-script, het insluiten van PowerShell in het setup.py-bestand en het opnemen ervan in versluierde vorm in het __init__.py-bestand.
Ongeacht de gebruikte methode is het einddoel van de campagne het compromitteren van de beoogde host met malware, in de eerste plaats een achterdeur die in staat is opdrachten op afstand uit te voeren, gegevens te exfiltreren en schermafbeeldingen te maken. De backdoor-module is geïmplementeerd in Python voor Windows en in Go voor Linux.
Als alternatief culmineren de aanvalsketens ook in de inzet van W4SP Stealer of een clipper-malware die is ontworpen om de klembordactiviteit van een slachtoffer nauwlettend in de gaten te houden en het oorspronkelijke portemonnee-adres, indien aanwezig, te verwisselen met een door de aanvaller gecontroleerd adres.
De ontwikkeling is de laatste in een golf van gecompromitteerde Python-pakketten die aanvallers hebben vrijgegeven om het open-source-ecosysteem te vergiftigen en een mengelmoes van malware te verspreiden voor supply chain-aanvallen.
Het is ook de nieuwste toevoeging aan een gestage stroom valse PyPI-pakketten die hebben gefungeerd als een heimelijk kanaal voor het verspreiden van stealer-malware. In mei 2023 lanceerde ESET onthuld een ander cluster van bibliotheken die zijn ontworpen om Sordeal Stealer te verspreiden, dat zijn functies ontleent aan W4SP Stealer.
Vorige maand werd ontdekt dat kwaadaardige pakketten, die zich voordeden als ogenschijnlijk onschadelijke verduisteringstools, een stealer-malware met de codenaam BlazeStealer inzetten.
“Python-ontwikkelaars moeten de code die ze downloaden grondig onderzoeken, vooral op deze technieken letten, voordat ze deze op hun systemen installeren”, waarschuwden de onderzoekers.
De onthulling volgt ook op de ontdekking van npm-pakketten die gericht waren op een niet bij naam genoemde financiële instelling als onderdeel van een ‘geavanceerde simulatieoefening van een tegenstander’. De namen van de modules, die een gecodeerde blob bevatten, zijn verborgen om de identiteit van de organisatie te beschermen.
“Deze gedecodeerde payload bevat een ingebed binair bestand dat op slimme wijze gebruikersreferenties exfiltreert naar een Microsoft Teams-webhook die intern is bij het doelbedrijf in kwestie”, maakte softwareleverancier Phylum vorige week bekend.
